关于196服务器访问安全的问题

现象描述：

 4日下午客户端在访问http://ent.zzmzqx.com/houtai0623/privilege.php?act=login

该网址时，浏览器弹出不安全提示，之后跳转到 http://www.52meiqi.com//zt/index.html 该页面。

问题分析：

 经查看该域名主机 ent.zzmzqx.com 对应的IP是27.152.28.196。登录服务器查看后，发现发现privilege.php文件被撰改，致使访问出现跳转，而目前能登录服务器的方式只有SSH（key文件）和FTP这两种。

检查思路：

1、  检查iptables防火墙，发现该服务未启动。导致整个服务器处在裸机状态。

2、  FTP密码和账号一致，至扫描软件在扫描时更容易破解。

3、  检查FTP日志，看是否有可疑账号和IP地址访问过本服务器。

更改措施：

1、  启动iptables 防火墙，检查其配置是否符合需求。

①   、开放所有前端服务器(30.4,19,70,235,210,)访问该服务器的21端口权限

②   、开放VPN（210.16，214.183）服务器访问该服务器的22端口权限

③   、开放所有前端服务器(30.4,19,70,235,210)访问该服务器的6300(Redis)端口

④   、开放所有前端服务器(30.4,19,70,235,210)访问该服务器的3306端口

⑤   、开放所有前端服务器(30.4,19,70,235,210)访问该服务器的8371(rsync)端口

⑥   、开放所有客户端访问该服务器的80,9000端口。

⑦   、开放(221.5.43.147, 125.90.93.147)访问服务器的161端口，用于监控流量

⑧   、开放该服务器访问外部所有服务。

2、  FTP用户密码变更

①   、以后每一个月都要更新一次密码

注意：密码变更后，一定要通知技术振宁，以便技术部及时变更代码层的FTP用户和密码。

3、  SSH访问限制

①   、在sshd_config中配置只允许指定的用户和IP地址访问服务器，目前仅允许(210.16,214.183)

②   、每一个月要求变更一次密码。

4、  Nginx访问限制

①   、出现有需要的客户端访问指定URL不能访问的时候，检查nginx.conf的map项是否有该IP地址，如果没有，则需要添加。

②   、对不需要访问指定URL的客户端，应从nginx.conf的map 项中删除。

5、  定期检查日志，查看是否有异常账号和IP登录该服务器。